URI-Handler-Lücke auch in MSN Messenger und Word

Das Problem entsteht, weil die genannten Programme (Word 2002, MSN Messenger 6.x) den Zugriff auf den URI-Handler "shell:" zulassen. Ein Angreifer kann so zahlreiche Programme über die ihnen zugeordneten Dateinamenserweiterungen aufrufen. Allerdings ist es dem Angreifer nicht möglich, diesen Programmen Parameter zu übergeben. Die Beschränkung auf die Eingabe von Dateinamen hält so die möglichen Schadenswirkungen in Grenzen.

Der Windows-URI-Handler "shell:" ist laut dem zugehörigen Security Report immanent unsicher. Er sollte deshalb ausschließlich in zwingenden Fällen in Verbindung mit ausgesuchten, absolut vertrauenswürdigen Sites verwendet werden. Als Abhilfe für das aktuelle Problem gilt, keinen Links in MSN Messenger und Word zu folgen. Microsoft zeigte sich in einer Stellungnahme wenig erfreut darüber, dass der Fehler veröffentlicht wurde, ohne dem Hersteller Zeit zur Entwicklung einer Lösung zu geben. Notfalls könne man den Fehler mit dem monatlichen Update für Microsoft am Patch-Day reparieren, sagte eine Sprecherin. Da dieses Update aber jeweils am zweiten Dienstag von Redmond (Ortszeit) veröffentlicht wird, dürfte die Zeit für das aktuelle Patch-Update knapp werden. Am Mittwoch lesen Sie bei tecCHANNEL aktuell, welche Lücken durch den Monats-Patch von Microsoft gestopft werden.

Auch eine Sicherheitslücke in Mozilla, Firefox und Thunderbid hängt mit dem URI-Handler "shell" zusammen, der von diesen Programmen aus aufgerufen werden darf. Abhilfe schaffen in diesem Fall Updates auf neuere Versionen der Programme (Mozilla 1.7.1, Firefox 0.9.2, Thunderbird 0.7.2).

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba)